Mi sono imbattuto in questo payload chiamato "Shikata Ga Nai" (in giapponese significa che non si può fare nulla al riguardo). È stato generato un file exe e quando viene eseguito, è possibile ottenere una shell inversa. Ma questo può essere fatto da molti payload su Metasploit. C'è qualcosa di unico in questo encoder?
Modificato: come accennato da Micheal, non è un payload ma un encoder.
Shikata Ga Nai è un codificatore incluso nel framework Metasploit per l'architettura x86. Dal codice sorgente disponibile :
This encoder implements a polymorphic XOR additive feedback encoder. The decoder stub is generated based on dynamic instruction substitution and dynamic block ordering. Registers are also selected dynamically.
Un documento accademico che descrive le tecniche per estrarre i payload codificati offre la seguente spiegazione:
This encoder offers three features that provide advanced protection when combined.
- First, the decoder stub generator uses metamorphic techniques, through code reordering and substitution, to produce different output each time it is used, in an effort to avoid signature recognition.
- Second, it uses a chained self modifying key through additive feedback. This means that if the decoding input or keys are incorrect at any iteration then all subsequent output will be incorrect.
- Third, the decoder stub is itself partially obfuscated via self-modifying of the current basic block as well as armored against emulation using FPU instructions.
Shikata Ga Nai non è un payload, ma un encoder. Il carico utile è la shell inversa.
Metasploit offre diversi encoder, Shikata Ga Nai è uno di loro. Un codificatore tenta di superare il rilevamento tramite AV, il rilevamento delle intrusioni di rete e mantiene i caratteri che possono causare un arresto anomalo della vittima fuori dal payload, come i byte null.
Leggi altre domande sui tag penetration-test kali-linux metasploit